【バズワードを学ぶ】PPAPが全面禁止??? PPAPの問題点と代替案に関してまとめてみた

www.youtube.com

PPAPが全面禁止」ということで、Twitterのトレンドにも入りましたね。ピコ太郎さんには悪いけど、キャッチーな名前のおかげでかなり話題にしやすくなったと思います。

以前もZennの方でまとめていたのですが、ちょうどバズってたのでいつか作ろうと思ってたPPAP動画を作ってみました。 zenn.dev

動画のサマリとしてはこんな感じ。

  • ピコ太郎は悪くない
  • PPAPとはパスワード付きZipをメールで送り別メールでパスワードを追加で送る手法
  • セキュリティの効果が低いだけでは無く近年ではむしろ有害としてアメリカ政府や霞が関で非推奨に
  • 今回、日立が全面禁止したことでトレンド入り
  • 代替案としてはファイル共有サービスが一般的

特に、重要な点は現代ではメールであってもファイル暗号は必須ではないことですね。バケツリレーをしていたのは今は昔で現在はMXレコードを参照して相手先を直接指定するので基本的には中継サーバを介さないようです。 このあたり実は自分も良く分かってなかったので、今回調べて知れて良かったです。 f:id:pascal256:20210123162717p:plain

バケツリレーがないからファイル暗号であるパスワード付きZipやS/MIMEを使わなくても経路暗号でセキュリティが担保出来るわけですね。

f:id:pascal256:20210123162818p:plain

動画中では言及しませんでしたが、今では自前でメールサーバをコーポレートメールとして運用してるところは少なく、多くはマイクロソフトGMailをカスタムドメインで利用してると思うので、経路暗号を期待して特に気にせず添付ファイルをするというのもそこまで悪手とは思わないのが正直なところです。 S/MIMEの運用が仮に手軽に出来たとしてもS/MIMEは基本的にファイル暗号なのでやはりメールセキュリティが適用できず下記のパスワード付きZipと同じ問題が発生してしまいます。 f:id:pascal256:20210123163043p:plain

そういったことを加味するとやはりオンラインストレージ、特にOutlookならOneDrive、Gmail(Google Workspace)ならGoogle Driveとすることでセキュリティ的にも運用性的にもかなり使いやすくなる気がします。 PCIDSSやHIPPAなど高いセキュリティが求められる認証も取ってるケースがあるので、そういった規制される業界にも適用できるのはうれしいですね。

f:id:pascal256:20210123163427p:plain

オンラインストレージはセキュリティ的にDLPやきめ細やかなACL、監査ログ、ウイルススキャン、自動バックアップなど様々な機能を持っているので、これらをPay as Goで使えるのはかなり魅力的ですよね。ファイルサーバを運用するとパッチ当てとか気になりますし。。。

それでは Happy Hacking!